Asustor (RESOLU) Finalement, mon nas piraté?

Statut
N'est pas ouverte pour d'autres réponses.

antoine_la

Chevalier Jedi
Bon,

hum hum hum.....

que pensez vous de mon journal:


Vous n'avez pas l'impression que je suis victime d'attaque ssh?

La liste du journal est longue. L'ip est longtemps la même avant de changer: 103.41.125.42 103.41.125.100 103.41.125.35 103.41.125.48
113.195.145.80

Et pour infos j'ai trouvé ça sur ces adresses ip, si je ne me trompe pas, origine chine.....:

http://anti-hacker-alliance.com/index.php?details=113.195.145.80

http://bannedhackersips.blogspot.fr/2015/03/fail2ban-ssh-banned-1034112542-from.html
 

Boboo

Chevalier Jedi
Cela ressemble bien à une attaque de force brute !
  1. Désactive le transfert de port 22 de ton router vers ton NAS (Paramètres/Accès facile/Router EZ: SSH service -> supprimer)
  2. Si tu dois accéder à ton NAS en SSH depuis l'extérieur de ton réseau perso, choisi un autre port libre de ton choix que tu rediriges vers le port 22
  3. superblinde ton mot de passe admin (utilisé pour le root en SSH).
voir réponse plus loin :rolleyes:
 

antoine_la

Chevalier Jedi
Et j'ai ces processus qui tournent, est ce normal?

J'ai enregistré le log, j'ai 10.000 lignes de tentatives ssh du 13 au 17 mars 2015......
 

Boboo

Chevalier Jedi
Je corrige mon post précédent (tu as déjà répondu).

Cela ressemble bien à une attaque de force brute !

  1. SOLUTION DE BASE : Active le Défendeur de réseau :
    • Paramètres/ADM Defender/Défendeur de réseau/Paramètres -> cocher "Activer Défendeur de réseau" puis cliquer sur "Appliquer"
    • Paramètres/ADM Defender/Défendeur de réseau/Liste noire -> cliquer "Paramètres" et définir "3 fois / 1 minute / Toujours"
    • La liste devrait se remplir avec les IP qui tentent le coup.
  2. SOLUTION RADICALE : Désactive le transfert de port 22 de ton router vers ton NAS : Paramètres/Accès facile/Router EZ: SSH service -> "Supprimer". Si tu dois accéder à ton NAS en SSH depuis l'extérieur de ton réseau perso, choisi un autre port libre de ton choix que tu rediriges vers le port 22. Dans tous les cas, superblinde ton mot de passe admin (utilisé pour le root en SSH).
Le processus est sans doute lié à l'attaque. Quand le défendeur bloquera l'IP, le processus cessera.

NB: tu as mis 2 fois la même image.
 

antoine_la

Chevalier Jedi
J'ai édité mon post précédent pour la photo. C'est le premier processus qui m'interpelle. Sachant que j'ai rebooter avec le bouton on/off.... De ce faite il resynchronise mes deux disques durs (procédure normal quand reboot sur panne de courant ou autre?), est-ce ce processus?

Pour le reste j'ai activé ADM defender comme tu l'as écris. J'avais aussi complètement coupé l'acces facile (router EZ éteint + myasustor).

Mais je vais le réactivé pour voir si les adresses ip reviennent et apparaissent dans la liste....
 

FX Cachem

Administreur
Membre du personnel
antoine_la, tu as bien fait de suivre les conseils de Boboo. Tant que n'a pas fini les opérations de nettoyage de le laisse pas ouvert vers l'extérieur.

Le processus ctngaqlnbb qui prend de la ressource 26,1% ne m'inspire pas confiance... vraiment pas du tout. Tout dépend de ce que tu as installé sur ton NAS. Si tu as 2 disques, retires en 1 et met le de côté. Si ce n'est pas un processus du NAS (cité précédemment), quelqu'un est rentré sur ton NAS et
  • A installé un backdoor,
  • Mine du Bitcoin (ou une autre monnaie virtuelle) sur ton dos,
  • Chiffre ton disque dur pour te demander une rançon,
  • Utilise ton NAS pour faire des attaques distantes,
  • Récupère toutes tes données.
Je ne veux pas t'alarmer mais c'est plutôt grave.

Si tu as suivi les premières consignes, personnellement je te conseille de sauvegarder tes données sur un disque externe et de l'analyser avec un bon antivirus. Ensuite, ré-installation complète du NAS avec formatage des disques durs.
 

antoine_la

Chevalier Jedi
Bon les attaques continuent même si elles sont bloquées:



Bon j'ai rien mis quasi sur mes disques, toujours en phase de test... Et puis FX toi qui me suis, j'ai pas mal de post.... Ce piratage peut expliquer tous ces bugs? Hors mis je pense pyload...... Qui bug depuis le debut.

Bon sinon les adresses proviennent de chine, hong kong et la dernière bloqué des seychelles.....

Le GIGN va débarquer chez moi.... :lol:

Bon en tout cas j'ai rien de précieux sur mon nas.

PS: Je viens d'enlever un disque, le processus tourne toujours.....J'ai aussi arrêter toutes les applications... Il tourne toujours et c'est bien le seul...
 

FX Cachem

Administreur
Membre du personnel
OK, il y a blocage automatique... mais ça va continuer tant que ton adresse IP publique ne change pas (et elle peut ne pas changer suivant les opérateurs). Installe un antivirus (AVAST) sur le NAS et passe le sur l'ensemble du disque.
Le processus ne me rassure toujours pas. Si l'antivirus n'est pas efficace, tu peux rechercher le processus et vires le (il faut bien chercher et voir d'où il se lance) ou il faut que quelqu'un se connecte sur ton NAS en SSH à distance pour te le retirer (mais je déconseille vivement d'ouvrir le SSH vers l'extérieur). Si tu n'as pas le choix actives , change le port (Services -> Terminal -> SSH) avec par exemple 8899.

Enfin, la autre très bonne solution est de ne pas l'ouvrir vers l'extérieur et demander l'aide du support ASUSTOR.
ps : un petit guide qui peut t'aider http://www.cachem.fr/10-conseils-securite-nas/
 

Dami1

Représentant ASUSTOR
salut à tous
c'est résolu via teamviewer avec Antoine.
En résumé le parefeu avait bien été désactivé, le port 22 était bien ouvert sur l'extérieur et j'en passe...

N'ayant que très peu de données (et sauvegardées ailleurs), Antoine a fait le choix de reformater et réinitialiser l' OS à son état d'usine.
Nous avons refait ensuite ensemble la configuration à 2 pas à pas avec explications à la clé sur quoi activer/ne pas activer et pourquoi
J'ai noté que la Freebox Crystal (comme la V5) a toujours un comportement étrange en UPnP.
Le processus fantôme (que je soupçonne très fortement être un mineur de bitcoins) a disparu entièrement. J'ai demandé au service support de prendre contact avec Antoine pour examiner son NAS (on ne sait jamais)

Un enseignement pour nous forumeurs, du moins pour les éclairés (je n'ai pas dit les illuminés :geek: ) si nous voyons dans la présentation "débutant" voir pour accompagner le membre dans sa configuration.
 

antoine_la

Chevalier Jedi
Oui un grand merci à Dami... qui a passé beaucoup de temps avec moi.

J'avoue, je n'ai pas été vigilent sur ce coup. Et mes connaissances en matière de sécurité sont minime voir inexistante..... Je ne m'en étais pas préocupé en me disant, un particulier qui se fait pirater, pour quoi faire...... hum...hum... sans commentaire :oops: .

Heureusement je n'avais encore rien de bien sérieux sur le nas. On a donc tout réinstallé avec Dami.

Encore merci et à très bientôt! :geek:
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut Bas